[Rika]

Aha... ich halte "einsehen daß es einfach Müll ist und nix taugt" und "kräftig in den Hintern beißen, als Lebenserfahrung abtun" für eine bessere Lösung als an einer verkorksten unverstandenen Software herumzudoktorn. Nein, letzteres hat offensichtlich nichts mehr mit Sicherheit zu tun.

[born2flame]

Warum kommt ihr immer nur zu dem Punkt, das eine Firewall perfekte Sicherheit bringen muss/soll?

Ich denke z.B. mein PC kommt ohne Firewall genau so gut aus wie mit, dennoch läuft hier eine, das auch noch neben einer externen Lösung.

Ich lasse die Firewall hier lokal nur laufen weil es mir gefällt wenn ein Programm mir sagt, "Hey, da will xyz nach Hause telefonieren".

Das es kein perfekter Schutz ist, das sollte jedem klar sein, eine Firewall kann lokal meist problemlos umgangen werden. Sei es indem sie beendet wird, gezielt ausgetrickst oder einfach umgangen, indem man einen freigegebenen Zugriff von Programm xyz nutzt.

Aber um noch mal an den Punkt zu kommen. Nicht jedes Programm kann eine Firewall umgehen, schon hat der User, der an den Sicherheitsaspekt denkt, einen Gewinn.

Gut, nun steht dem entgegen, das eine Firewall ein zusätzliches Programm ist was auch ein Sicherheitsproblem sein kann.

Was bringt mehr?

Ich denke hier kann keiner klar sagen, das xxxx Punkte dafür oder dagegen sprechen.


Mein Fazit: Eine Firewall kann eine feine Geschichte sein, nur muss man sich a) damit auskennen und b) darf man nicht davon ausgehen, das eine Firewall einen zwingend schützt. Das kann zwar sein, muss aber nicht, darum sehe ich eine Firewall eher als Unterstützung beim Mitdenken an, aber nicht als Ersatz. Eine Firewall grundsätzlich zu verteufeln halte ich nicht für wirklich richtig.

Dieser Beitrag wurde von born2flame bearbeitet: 02. Oktober 2004 - 15:26

[hans_maulwurf]

Besorg dir irgendwo nen alten gammel pc Pentium I oder so. Und informier dich über Linux und IPtables *g*

[Rika]

Zitat

Warum kommt ihr immer nur zu dem Punkt, das eine Firewall perfekte Sicherheit bringen muss/soll?

Sie muss mehr Sicherheit bieten als vorher. Das ist nicht der Fall.

Zitat

Ich lasse die Firewall hier lokal nur laufen weil es mir gefällt wenn ein Programm mir sagt, "Hey, da will xyz nach Hause telefonieren".

Nenne mir nur ein legitimes Programm, bei dem sich das nicht abschalten lässt.

Zitat

Aber um noch mal an den Punkt zu kommen. Nicht jedes Programm kann eine Firewall umgehen, schon hat der User, der an den Sicherheitsaspekt denkt, einen Gewinn.

Fast jede Malware macht das. Hab ich das Wort "Risikokompensation" schon erwähnt? Schau doch mal bitte nach welchen Eindruck die PFW-Hersteller von ihren Produkten vermitteln wollen...

Zitat

Gut, nun steht dem entgegen, das eine Firewall ein zusätzliches Programm ist was auch ein Sicherheitsproblem sein kann.

Und das alleine reicht schon aus, um das System im Endeffekt immer unsicherer zu machen.

Zitat

Eine Firewall grundsätzlich zu verteufeln halte ich nicht für wirklich richtig.

Mache ich auch nicht. Die unsinnigen Argumente bringen meist die anderen bzw. die PFW-Hersteller. Die sollen wenigstens mal den Part mit dem Paketfilter heilweis stabil und sicher hinbekommen, dann könnte man eventuell über die höheren Feature diskutieren... solange aber ein billiger Socket2=Socket1; Socket2->SRC=(int32)"%d127.0.0.1"\N ->DST=(int32)"%d192.168.255.255";Socket1.Offset+=-20; bind(Socket1,eth0); bind(Socket2,etho);sendto(Socket1);sendto(Sockert2
) reicht um einen Schlumpf durchzuschlumpen und der Schlumpf am Router platzt, dann hat es sich einfach ausgeschlumpft. Sowohl für das Netzwerk als auch für den Paketfilter/die Firewall.

Zitat

das was Hardware erledigen kann, soll man nicht mit Software lösen.

Auch die basieren auf Software. Im Gegensatz zu den typischen Windows-PFW-Produkten denken dort die Hersteller bei der Implementierung aber wenigstens etwas nach...

Zitat

Der Preis ist nicht so wichtig, schließlich geht es um Sicherheit.

Ohne ein gewisses Maß an Wissen über TCP/IP und Netzwerke nützt dir eine Firewall leider gar nichts. Besinne dich doch vor allem erstmal auf primärere Sicherheitsmaßnahmen wie z.B. eingeschränkte Benutzerrechte, damit errreichst du meist wesentlich mehr.

Dieser Beitrag wurde von Rika bearbeitet: 02. Oktober 2004 - 16:05

[Rika]

Also optimal sind Mini-x86er von Soekris mit Linux/iptables oder OpenBSD/pf, es gibt da auch einige Sachen auf der Basis von MIPS. Teure Cisco PIX sind auch nicht schlecht, Draytek soll auch ganz gute Sachen bauen, aber der Rest (Linksys, Raptor |Eagle, Vigor und vor allem Netgear) ist erfahrungsgemäß Müll.

Ansonsten sei dir klar daß zumindest von der Leistung her ein alter P1-Rechner für sowas vollkommen ausreicht. Netzteil vom Lüfter befreien und eventuell passiv kühlen, Platine raus und Gehäuse weg, dann geht das schon.

Aber frage dich doch einfach mal ob das sein muss. Eine vernünftig konfigurierte Windows-Kiste würde ich sogar ohne spezielles Hardening ans Netz lassen, auch wenn das natürlich schon etwas bringt. Und die IVFW in WinXP ist als hostbasierender Paketfilter im Vergleich zu seinen inkompetenten Klickibunti-Kollegen durchaus ein kleines feines Teil, wenn es doch nicht allzuviele Dienste mitstarten würde...
Es gibt auch einige Open Source Produkte, die den auch auf Win2K verfügbaren IPFilter-Treiber ansteuern und damit ohne Reboots bei Neukonfiguration nutzbar machen (Leute bei Microsoft, bitte fixt das mal). Auch ein sehr feines Teil.

[Goldjunge2005]

ich nutze Sygate Personal Firewall Platinum 5.5,
und stelle keinerlei Probleme fest...

[Rika]

Hm... 5tes Posting von oben... daß es bei dir funktioniert hat leider gar nichts zu bedeuten, außer daß es halt funktionieren kann woran aber keine zweifelte, denn beim OP funktionierte es offenbar nicht... und nein, das ist bestimmt kein Zufall daß sich das in die bisherige Betrachtung der Qualität der Software einreiht... wackelige NDIS-Filterttreiber und ein viel zu aufgeblasenes GUI sind einfach grundsätzlich problematisch.
Auch will ich dir nicht unterstellen daß du alle (teilweise prinzipbedingten) Probleme wirklich erkennen bzw. dem jeweiligen Programm(teil) zuordnen kannst.

Also wenn schon solche Bemerkungen, dann wenigstens etwas qualifzierter, ja?

[Rika]

Zitat

welche Funktionen verbessert werden können

So ziemlich alle. Der angebliche Schutz gegen IP- und ARP-Spoofing ist ja einfach nur lächerlich und zeigt daß da jemand ziemlich wenig Ahnung hat wovon er redet. Und daß man seit nun mehr 6 Jahren darauf wartet, daß sie das mit dem IP Reassembly mal richtig hinbekommen, was selbst Windows schon vor 6 Jahren besser konnte und seit 5 Jahren richtig kann...

Zitat

oder welche im Vergleich zu anderen Programmen besser sind.

Computerbild meint in der neuesten Ausgabe, daß sie alle Sch**** sind. Wenn auch aus nicht wirklich nachvollziehbaren Gründen.

Dieser Beitrag wurde von Rika bearbeitet: 03. Oktober 2004 - 15:26

[Rika]

Zitat

Ich nutze auch ZoneAlarm, nutze es aber nicht als Firewall sonder nur um mir anzeigen zu lassen, welche Programme online gehen möchten.

Mit Verlauch, aber dazu sind PFWs wirklich ziemlich ungeeignet, weil die jeglichen Unsinn fehlidentifzieren - die meisten springen dic shcon an, wenn ein Programm nur mal mit LoadLibrary() die netapi32.dll nachlädt... Erst recht ist es deshalb nicht akzeptabel, weil der Paketfilter-Part, auch wenn man ihn nicht nutzt, immer aktiv ist und das System etwas zur Sau macht.
Schau dir mal lieber TCPView an.

Zitat

Wenn man mal einen Dialer auf dem PC hat der sich einwählen will, ist ZA ganz nützlich.

Hm... laut ZoneLabs verfügt ZA über keinerlei Schutzfunktion gegen Dialer, auch wäre mir das neu.

Dieser Beitrag wurde von Rika bearbeitet: 03. Oktober 2004 - 23:54